继“震网”、“Duqu”让人们震惊于安全威胁的日益专业化之后,近日“火焰”病毒再次引发关注,网络安全威胁正式进入全新的阶段,已经成为国际共识,尤其是近日《纽约时报》报道,针对伊朗核电设施的网络攻击系美国政府所为。
新时期下新领域,面临新安全威胁。这些新安全威胁,攻击目标明确、动用资源巨大、攻击对象精确、攻击技术复杂、攻击手段精巧、攻击行为隐蔽,正是目前引发安全界广泛重视的高级持续性威胁(APT)。APT窥视的都是国家基础设施、重要信息系统、有高价值的商业机构或科研部门等,可以说,在现代社会步入融合、宽带、泛在、智能的信息空间的同时,也给各类安全威胁带来全新的机会,给安全防护带来全新的挑战。
2010年以来,随着工信部11号令(工信部《通信网络安全防护管理办法》)的颁布施行,通信行业的网络安全工作逐步走向正规化和日常化。然而,现有的网络维护技术和网络运行管理机制有其自身的特点,尚不能完全适应通信网络的IP化,也不能完全适应其在此基础之上作为社会基础设施运行所带来的巨大变化。
现有的网络维护体制在制度设计、生产组织、物资保障等方面,更多的是适应故障处理工作的需要,而非网络安全工作的需要。这主要体现在以下3个方面。
首先是观念和制度建设滞后,分工协作机制有待完善。普遍存在这样一种观念:只要网络维护人员按照《维护规程》及设备说明书准确操作网络设备,及时消除或者减少网络故障的发生,就是保证了网络安全。因此,自然而然地将与网络安全相关的工作内容全部分解在各个具体网络的运行维护之中,忽视了在维护主体内部的网络安全工作通常需要由若干个相关部门共同参与完成,存在工作内容交叉及信息不能共享、分工机制不明确、安全工作效率低等一系列问题。
其次,网络安全防护系统建设滞后,缺乏统筹考虑。网络安全防护系统需要和网络系统同步设计、同步建设、同步验收,但在实际工作中,往往变成只进行能力建设,减少或忽略了配套安全系统的建设。另外,通信网络的各个专业系统在安全防护能力建设上“各自为政”,虽然无论固网还是移动网都有各自的网络安全设备,但这些设备均处于分立状态,系统功能不完备。防护能力分布不均及交叉覆盖的问题普遍存在,设备利用率低,在安全设备日常运行过程中,缺乏对数据的分析能力,缺乏对安全事件的监控能力,安全防护设备的布设处于“一盘散沙”的状态。
最后是执行力量不足,缺乏专职人员。网络安全防护工作对人员的专业技术水平有较高的要求,工作强度、工作难度及工作风险均高于普通维护工作,需要专职的网络安全技术人才从事日常的安全工作。但目前从事网络安全防护工作的人员基本上是兼职,业务水平参差不齐,具备职业资格的从业人员严重缺乏。
在通信网络迅速IP化之后,安全设计的先天不足决定了现有维护体制在面对通信网络安全防护工作时必然存在缺失环节。右表显示传统通信网维护工作与网络安全防护工作的差异。
这些差异显示,当前形势下网络安全工作不仅要面对传统网络安全问题的挑战,更多的还要面临非传统安全问题的挑战。现有维护体制对网络安全新形势的适应度极为有限,新形势下,需要维护体制进行主动调整,以适应这种变化。从某种意义上讲,网络安全防护工作有着一种与“业务无关”的特性,是网络运营过程的基础性工作。应细分网络安全防护工作的具体内容和职责范围,结合当前的维护体制特点,逐步优化和改进现有维护体制。具体包括以下几个方面。
一、确立网络安全工作的专业性,优化维护资源配置,扩展日常维护工作的范畴。基于现有“一部多中心”的维护模式,在维护部内设立全职网络安全管理岗位;在网管中心、设备中心将漏洞扫描、安全基线配置等值守型和事务性的安全工作内容加入日常维护作业计划,与日常网络维护一同展开。
二、适时建立“安全管理中心”。集中完成全网的安全事件响应、安全基线检测、安全审计等基础性工作,逐步形成全网安全风险控制能力。
三、设立统筹管控信息安全风险的部门。整合运营商内部资源,面向网络运营的全过程而不是单纯的网络维护和建设过程开展安全风险管控工作。